Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med Cirrus Identity Bridge för Microsoft Entra ID

  • Artikel

I den här självstudien får du lära dig hur du integrerar Cirrus Identity Bridge för Microsoft Entra-ID med Microsoft Entra-ID med hjälp av det Microsoft Graph API-baserade integrationsmönstret. När du integrerar Cirrus Identity Bridge för Microsoft Entra-ID med Microsoft Entra-ID på det här sättet kan du:

  • Kontrollera vem som har åtkomst till InCommon eller andra multilaterala federationstjänstleverantörer från Microsoft Entra ID.
  • Gör det möjligt för användarna att använda enkel inloggning till InCommon eller andra multilaterala federationstjänstleverantörer med sina Microsoft Entra-konton.
  • Ge användarna åtkomst till CAS-program (Central Authentication Service) med sina Microsoft Entra-konton.
  • Hantera din programåtkomst på en central plats.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • Cirrus Identity Bridge för Microsoft Entra-prenumeration med enkel inloggning (SSO) aktiverat. Om du inte redan är prenumerant kan du besöka registreringssidan för Cirrus Identity Microsoft Entra ID Bridge.

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

  • Cirrus Identity Bridge för Microsoft Entra ID stöder SP - och IDP-initierad enkel inloggning.

När du prenumererar på Cirrus Identity Bridge för Microsoft Entra-ID blir du tillfrågad om ditt Microsoft Entra TenantID. Så här visar du följande:

  1. Logga in på administrationscentret för Microsoft Entra.
  2. Bläddra till Identitet>Översikt>Egenskaper.
  3. Rulla ned till avsnittet Klientorganisations-ID så hittar du ditt klient-ID i rutan.
  4. Kopiera värdet och skicka det till den Cirrus Identity-kontraktsrepresentant som du arbetar med.

Om du vill använda Microsoft Graph API-integreringen måste du bevilja Cirrus Identity Bridge för Microsoft Entra ID-åtkomst för att använda API:et i din klientorganisation. Så här gör du:

  1. Logga in på administrationscentret för Microsoft Entra.
  2. Redigera URL:en som ersätter $TENANT_ID med värdet för din Microsoft Entra-klientorganisationhttps://login.microsoftonline.com/$TENANT_ID/adminconsent?client_id=ea71bc49-6159-422d-84d5-6c29d7287974&state=12345&redirect_uri=https://admin.cirrusidentity.com/azure-registration.
  3. Klistra in URL:en i webbläsaren där du är inloggad.
  4. Du uppmanas att samtycka till att bevilja åtkomst.
  5. När det lyckas bör det finnas ett nytt program med namnet Cirrus Bridge API.
  6. Meddela den representant för Cirrus-identitetskontraktet som du arbetar med att du har beviljat API-åtkomst till Cirrus Identity Bridge för Microsoft Entra-ID.

När Cirrus Identity har klient-ID och åtkomst har beviljats etablerar vi Cirrus Identity Bridge för Microsoft Entra-infrastrukturen och ger dig följande information som är unik för din prenumeration:

  • Identifierar-URI/entitets-ID
  • Omdirigerings-URI/svars-URL
  • URL för enkel utloggning
  • SP-krypteringscertifikat (om du använder krypterade intyg eller utloggning)
  • En URL för testning
  • Ytterligare instruktioner beroende på vilka alternativ som ingår i din prenumeration

Kommentar

Om du inte kan bevilja API-åtkomst till Cirrus Identity Bridge för Microsoft Entra-ID kan bryggan integreras med hjälp av en traditionell SAML2-integrering. Meddela den representant för Cirrus-identitetskontraktet som du arbetar med att du inte kan använda MS Graph API-integrering.

För att konfigurera integreringen av Cirrus Identity Bridge för Microsoft Entra-ID i Microsoft Entra-ID måste du lägga till Cirrus Identity Bridge för Microsoft Entra-ID från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du Cirrus Identity Bridge för Microsoft Entra-ID i sökrutan.
  4. Välj Cirrus Identity Bridge för Microsoft Entra ID i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för Cirrus Identity Bridge för Microsoft Entra ID

Konfigurera och testa Microsoft Entra SSO med Cirrus Identity Bridge för Microsoft Entra-ID med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i Cirrus Identity Bridge för Microsoft Entra-ID.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med Cirrus Identity Bridge för Microsoft Entra ID:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
    2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera Cirrus Identity Bridge för Microsoft Entra SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Konfigurera Cirrus Identity Bridge för Microsoft Entra-testning – för att ha en motsvarighet till B.Simon i Cirrus Identity Bridge för Microsoft Entra-ID som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Cirrus Identity Bridge för Microsoft Entra ID-programintegreringssidan, leta upp avsnittet Hantera och välj Egenskaper.

  3. På sidan Egenskaper växlar du Tilldelning krävs baserat på dina åtkomstkrav. Om värdet är Ja måste du tilldela Cirrus Identity Bridge för Microsoft Entra ID-programmet till en åtkomstkontrollgrupp på sidan Användare och grupper .

  4. När du fortfarande är på sidan Egenskaper kan du växla Synlig för användare till Nej. Den inledande integreringen representerar alltid den standardintegrering som används för flera tjänstleverantörer. I det här fallet finns det ingen tjänstleverantör att dirigera slutanvändarna till. För att göra specifika program synliga för slutanvändarna måste du använda länkning av enkel inloggning för att ge slutanvändare åtkomst i Mina appar till specifika tjänstleverantörer. Mer information finns här .

  5. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  6. Bläddra till Identity>Applications>Enterprise-program>Cirrus Identity Bridge för enkel inloggning med Microsoft Entra-ID.>

  7. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  8. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  9. I avsnittet Grundläggande SAML-konfiguration utför du följande steg:

    a. I textrutan Identifierare (entitets-ID) anger du en URL enligt följande mönster: https://<DOMAIN>/bridge

    b. Skriv en URL med följande mönster i textrutan Svars-URL: https://<NAME>.proxy.cirrusidentity.com/module.php/saml/sp/saml2-acs.php/<NAME>_proxy

  10. Klicka på Ange ytterligare URL:er och gör följande om du vill konfigurera appen i SP-initierat läge:

    I textrutan Inloggnings-URL skriver du ett värde med hjälp av följande mönster: <CUSTOMER_LOGIN_URL>

    Kommentar

    Dessa värden är inte verkliga. Uppdatera dessa värden med den faktiska identifieraren, svars-URL:en och inloggnings-URL: en. Om du ännu inte prenumererar på Cirrus-bron kan du gå till registreringssidan. Om du är en befintlig Cirrus Bridge-kund kontaktar du Cirrus Identity Bridge för Microsoft Entra-klientsupporten för att hämta dessa värden. Du kan också referera till de mönster som visas i avsnittet Grundläggande SAML-konfiguration .

  11. Cirrus Identity Bridge för Microsoft Entra-programmet förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut.

    bild

  12. Cirrus Identity Bridge för Microsoft Entra fyller i attribut och anspråk i förväg, som är typiska för användning med InCommon-förtroendefederationen. Du kan granska och ändra dem så att de uppfyller dina krav. Mer information finns i schemaspecifikationen för eduPerson.

    Name Källattribut
    urn:oid:2.5.4.42 user.givenname
    urn:oid:2.5.4.4 user.surname
    urn:oid:0.9.2342.19200300.100.1.3 user.mail
    urn:oid:1.3.6.1.4.1.5923.1.1.1.6 user.userprincipalname
    cirrus.nameIdFormat "urn:oasis:names:tc:SAML:2.0:nameid-format:transient"

    Kommentar

    Dessa standardvärden förutsätter att Microsoft Entra UPN är lämpligt att använda som eduPersonPrincipalName.

  13. På sidan Konfigurera enkel inloggning med SAML i avsnittet SAML-signeringscertifikat klickar du på kopieringsknappen för att kopiera url:en för appfederationsmetadata och sparar den på datorn.

    Länk för nedladdning av certifikatet

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till Cirrus Identity Bridge för Microsoft Entra-ID.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Cirrus Identity Bridge för Microsoft Entra ID.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera Cirrus Identity Bridge för Microsoft Entra SSO

Mer dokumentation om hur du konfigurerar Cirrus-bron finns i Cirrus Identity. För att även konfigurera Cirrus Bridge för att stödja åtkomst för CAS-tjänster är CAS-stöd också tillgängligt för Cirrus Bridge.

Konfigurera Cirrus Identity Bridge för Microsoft Entra-testning

I det här avsnittet kontrollerar du att en användare med namnet Britta Simon kan användas för testning. Cirrus Identity Bridge för Microsoft Entra-supportteamet tillhandahåller en test-URL för att verifiera att Britta Simon är redo att använda med Cirrus Identity Bridge för Microsoft Entra-plattformen. Testanvändaren Britta Simon måste också läggas till i alla program som använder Cirrus Identity Bridge för Microsoft Entra-ID som en metod för att autentisera (till exempel program i multilaterala federationsmetadata).

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

SP-initierad:

  • Klicka på Testa det här programmet, detta omdirigeras till Cirrus Identity Bridge för Microsoft Entra ID Inloggnings-URL där du kan initiera inloggningsflödet.

  • Gå till Cirrus Identity Bridge för Microsoft Entra-inloggnings-URL direkt och initiera inloggningsflödet därifrån.

IDP-initierad:

  • Klicka på Testa det här programmet så bör du automatiskt loggas in på Cirrus Identity Bridge för Microsoft Entra-ID som du har konfigurerat enkel inloggning för.

Du kan också använda Microsoft Mina appar för att testa programmet i valfritt läge. När du klickar på Cirrus Identity Bridge för Microsoft Entra ID-panelen i Mina appar, om du konfigureras i SP-läge omdirigeras du till programinloggningssidan för att initiera inloggningsflödet och om det konfigureras i IDP-läge bör du automatiskt loggas in på Cirrus Identity Bridge för Microsoft Entra-ID som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat Cirrus Identity Bridge för Microsoft Entra-ID kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.

Du kan också skapa flera appkonfigurationer för Cirrus Identity Bridge för Microsoft Entra ID när du använder MS Graph API-integrering. På så sätt kan du implementera olika anspråk, åtkomstkontroller eller Microsoft Entra-principer för villkorsstyrd åtkomst för grupper av multilateral federation. Mer information finns här . Många av dessa åtkomstkontroller kan också tillämpas på CAS-program.